Abstrak - Informasi merupakan aset yang sangat berharga bagi sebuah lembaga baik lembaga pemerintah
maupun swasta termasuk dalam hal ini adalah Direktorat SISFO yang merupakan Direktorat pada salah satu
institusi Perguruan Tinggi swasta. Maka dari itu pengamanan informasi harus dilakukan dengan sebaik
mungkin. Sumber daya yang memadai dan cukup harus dialokasikan untuk melindungi aset informasi melalui
penyelenggaraan kebijakan keamanan sistem informasi yang terukur sesuai dengan standard yang ada.
Tujuan dari penelitian ini adalah sebagai kajian untuk mengetahui tingkat kesiapan pengamanan sistem
informasi institusi berdasarkan Indeks KAMI yang merupakan sebuah alat untuk menganalisa tingkat
kesiapan pengamanan informasi yang dibuat oleh Kemkominfo pada tahun 2011. Indeks KAMI merupakan
suatu alat evaluasi yang digunakan untuk menganalisa tingkat kesiapan pengamanan informasi di organisasi.
Evaluasi dilakukan terhadap beberapa area yang memenuhi aspek keamanan informasi yang didefinisikan
dalam standar ISO/IEC 27001 yang merupakan suatu standard yang dipublikasikan oleh International
Standard Organization dan International Electrotechnical Commission, standar tersebut menyediakan
rekomendasi best practice terhadap manajemen keamanan informasi dan pemeliharaan ISMS pada organisasi.
Hasil analisis penilaian indeks KAMI menunjukan bahwa kategori Sistem Elektronik tergolong tinggi dan
status kesiapan pada area pengelolaan asset informasi, teknologi dan kemanan informasi dilevel II dengan
hasil skor seluruh area 276 dari 645 total skor. Pada tingkatan ini menjelaskan kondisi dasar dari kerangka
kerja penerapan keamanan informasi yang masih belum melakukan dokumentasi diseluruh area. Direktorat
Sisfo belum memenuhi penerapan keamanan informasi sehingga diperlukan perbaikan dengan meningkatkan
control keamanan yang terdokumentasi dan terstruktur.
Abstract - Information on assets that is very valuable for an institution, both government and private, including in
this case is the SISFO Directorate, which is a private university. Therefore, information security must be done as
well as possible. Adequate and sufficient resources must be allocated to protect information assets through the
implementation of a measurable information system security policy in accordance with existing standards. The
purpose of this research is as an evaluation to monitor the level of information system security readiness made by a
tool to analyze the level of information security readiness made by the Ministry of Communication and Information
in 2011. The KAMI index is an evaluation tool used to analyze the level of information security readiness in
organizations. Evaluation is carried out on several areas that meet the security aspects defined in the ISO / IEC
27001 standard which is a standard published by the International Standard Organization and International
Electrotechnical Commission, the standard provides best practice recommendations for information management
and ISMS maintenance in organizations. The results of our index analysis show that the category of Electronic
Systems is high and the status of readiness in the area of management of information assets, technology and data
information is level II with the results of a total score of 276 out of 645 total areas. At this level, it explains that the
basic condition of the information application framework which is still not documented in all areas. The Sisfo
Directorate has not fulfilled the implementation of information security so that improvements are needed by
increasing documented and structured controls.
2) Landasan Teori
2.1 Keamanan Informasi
Menurut G.J. Simons keamanan informasi adalah bagaimana usaha untuk dapat mencegah
penipuan (cheating) atau bisa mendeteksi adanya penipuan pada sistem yang berbasis informasi,
dimana informasinya sendiri tidak memiliki arti fisik (Purwanto, 2014).
Suatu organisasi yang berhasil harus memiliki keamanan yang baik yaitu pada:
1. Physical security
2. Personal security
3. Operation security
4. Communication security
5. Network security
1. Confidentiality, Kerahasiaan menurut (Mokodompit & Nurlaela, 2017) informasi hanya dapat
diakses oleh mereka yang berhak atau memiliki wewenang untuk memperolehnya dan menjamin
kerahasiaan data yang dikirim, diterima dan disimpan.
2. Integrity, Integritas artinya informasi dijaga agar selalu akurat untuk menjaga informasi tersebut
maka informasi hanya boleh di ubah dengan izin pemilik informasi.
3. Availability, Ketersediaan adalah memastikan bahwa informasi terkait dapat diakses oleh mereka
yang berwenang sesuai dengan kebutuhan (Mokodompit & Nurlaela, 2017).
ISO/IEC 27001 dirilis pada tahun 2005. Menurut (ISO/ IEC 27001, 2005) ini terus
mengalami pembaharuan, ISO 27001: 2013 merupakan icon sertifikasi 27000 terbaru yang di rilis
tahun 2013, sebuah dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau
Information Security Management System (ISMS) yang berisi tentang gambaran umum mengenai
apa saja yang harus dilakukan oleh sebuah organisasi atau enterprise dalam rangka
mengimplementasikan konsep-konsep keamanan informasi.
2.4 Sistem Manajemen Keamanan Infomasi / ISMS (Infromation Security Management System
)
Menurut (Whitman dan Mattord,2014) ISMS harus didukung oleh hal-hal berikut yaitu :
1. Percanaaan : melakukan kegiatan yang meliputi proses perancangan, pembuatan dan
implementasi untuk mencapai tujuan ISMS.
2. Kebijakan keamanan : kebijakan keamanan memberikan arahan dan dukungan sumber daya
untuk mencapai tujuan ISMS. Program Pelatihan Keamanan Informasi : memberikan
pengetahuan kepada pegawai mengenai keamanan informasi dan meningkatkan pemahaman
keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
3. Penilaian Risiko : dengan penilaian risiko ini organisasi dapat memahami seberapa besar
dampak yang akan diterima organisasi jika terjadi kejadian yang menyangkut keamanan
informasi
4. Sumber Daya Manusia : manusia adalah pemgubung utama dalam program keamanan informasi,
bisa meliputi keamanan personil secara individu saat bekerja dan keamanan personil dalam
organisasi.
5. Tanggung Jawab: meliputi tanggung jawam manajemen, masing-masing individu organisai serta
tanggung jawab untuk menjalankan dan memelihara ISMS.
Menurut (Bssn.go.id), Indeks KAMI adalah suatu alat evaluasi untuk menganalis tingkat
kesiapan pengamanan informasi di organisasi atau instansi pemerintah. Evaluasi dilakukan terhadap
berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan
yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar ISO/IEC 27001:2013.
Gambar dibawah ini tampilan Dari hasil evaluasi indeks KAMI akan menggambarkan tingkat
kematangan dan kelengkapan untuk menerapkan SNI ISO/IEC27001 dan peta area yang dievaluasi
indeks KAMI di suatu organisasi.
1) Tata Kelola Keamanan Informasi – Bagian ini mengevaluasi kesiapan bentuk tata kelola
keamanan informasi beserta Instansi/fungsi, tugas dan tanggung jawab pengelola keamanan
informasi.
3) Kerangka Kerja Keamanan Informasi – Bagian ini mengevaluasi kelengkapan dan kesiapan
kerangka kerja (kebijakan & prosedur) pengelolaan keamanan informasi dan strategi
penerapannya.
4) Pengelolaan Aset Informasi – Bagian ini mengevaluasi kelengkapan pengamanan terhadap aset
informasi, termasuk keseluruhan siklus penggunaan aset tersebut.
5) Teknologi dan Keamanan Informasi – Bagian ini mengevaluasi kelengkapan, konsistensi dan
efektivitas penggunaan teknologi dalam pengamanan aset informasi.
2) Kerangka Kerja Keamanan Informasi Pengelolaan Aset Informasi Teknologi dan Keamanan
Informasi.
5. Tingkat Kematangan III: Mencapai minimal dimana hasil prasyarat Dasar TKII+, yaitu
seluruh bentuk pengamanan TKIII-Tahap 1 dengan status ―Diterapkan Secara
Menyeluruh‖, terdapat Dua bentuk pengamanan TKIII-Tahap 2 dengan status ―Dalam
Penerapan/Diterapkan Sebagian‖; dan sisa jumlah pengamanan TKIII-Tahap 2 yang ada
dengan status ―Diterapkan Secara Menyeluruh‖ serta terdapat dua bentuk pengamanan
TKIII-Tahap 3 dengan status ―Dalam Penerapan/Diterapkan Sebagian.‖
6. Tingkat Kematangan III+: Mencapai minimal dimana hasil prasyarat Dasar TKIII+
yaitu mencapai semua bentuk pengamanan TKIII-Tahap 1 dengan status ―Diterapkan
Secara Menyeluruh‖, tedapat satu bentuk pengamanan TKIII-Tahap 2 dengan status
―Dalam Penerapan/Diterapkan Sebagian‖; dan sisa jumlah pengamanan TKIII-Tahap 2
yang ada dengan status ―Diterapkan Secara Menyeluruh‖, dan terdapat satu bentuk
pengamanan TKIII-Tahap 3 dengan status ―Dalam Penerapan/Diterapkan Sebagian‖
dengan sisa jumlah pengamanan TKIII-Tahap 3 dengan status ―Diterapkan Secara
Menyeluruh.‖ Serta terdapat dua bentuk pengamanan TKIV-Tahap 3 dengan status
―Dalam Penerapan/Diterapkan Sebagian‖; dan sisa jumlah pengamanan TKIV-Tahap 3
yang ada dengan status ―Dalam Perencanaan.‖
7. Tingkat Kematangan IV: Mencapai minimal dimana hasil memenuhi prasyarat Dasar
TKIII+; dan semua bentuk pengamanan TKIV-Tahap 3 dengan status ―Diterapkan Secara
Menyeluruh.‖
8. Tingkat Kematangan IV+: Mencapai minimal dimana hasil telah mencapai Tingkat
Kematangan IV, dan terdapat satu bentuk pengamanan TKV-Tahap 3 dengan status
―Dalam Penerapan/Diterapkan Sebagian.‖
9. Tingkat Kematangan V: Mencapai minimal dimana hasil telah mencapai Tingkat
Kematangan IV; dan semua bentuk pengamanan TKV-Tahap 3 dengan status ―Diterapkan
Secara Menyeluruh.‖
Pada penelitian ini data yang akan digunakan disesuaian dengan tiap kategori dalam Indeks
KAMI bersama penanggung jawab atau yang memiliki kredibilitas di Direktorat Sistem Informasi,
kategori yang termasuk dalam Indeks KAMI adalah:
1) Sistem elektronik
2) Pengelolaan Aset informasi
3) Teknologi dan keamanan Informasi
4) Pengolahan dan Analisis Data
4.1 Hasil Penilaian Pengelolaan Aset Informasi
Berikut ini hasil matriks skor pada area Pengelolaan Aset Informasi:
Tabel diatas menunjukkan total skor status pengamanan tahap 1 dan 2 bernilai 76 skor,
sedangkan status pengamanan tahap 3 dengan 4 pertanyaan memiliki skor 0. Syarat untuk skor min
status pengamanan tahap 3 yaitu di mana seluruh pengamanan tahap 1&2 dalam kondisi ―Dalam
Penerapan/ Diterapkan Sebagian‖ dengan total skor 88 status pengamanan tahap 3 menunjukkan
―Tidak Valid‖,berarti penerapan tahap 3 tidak memenuhi batas skor minimal.
a) Penilaian Kategori Sistem Elektronik pada Direktorat Sistem Informasi menunjukkan total skor
29 point. Hal ini menjelaskan bahwa direktorat SISFO sebagai pengguna TIK sangat berperan
penting sehingga tidak bisa dipisahkan dari proses bisnis yang berjalan. Tingginya nilai kategori
sistem elektronik ini menegaskan bahwa data yang dikelola Direktorat SISFO secara mandiri ini
tersimpan pada layanan yang dibangun oleh direktorat SISFO yaitu i-Gracias. I-Gracias ini
digunakan oleh seluruh civitas yang ada di Universitas Telkom untuk segala aktivitas yang
berhubungan dengan akademik maupun non akademik. Dampak yang akan dialami jika sistem
elektronik tidak berjalan sebagaimana mestinya yaitu merusak alur proses bisnis yang sedang
terjadi, timbulnya kerugian finansial, hingga memperlambat kerja adminstrasi dalam mengolah
data yang ada.
b) Penilaian Indeks KAMI pada seluruh area memperoleh skor sebesar 276,di mana area
pengelolaan aset memperoleh skor 76 dengan tingkat kematangan pada level kematangan II, dan
area teknologi dan keamanan informasi memperoleh skor 84 dengan tingkat kematangan pada
level kematangan II. Dari hasil yang diperoleh direktorat Sisfo belum mencapai syarat tingkat
kematangan standar ISO/IEC 27001:2013 dengan tingkat kematangan minimalnya III. Hal ini
menjelaskan bahwa direktorat Sisfo perlu melakukan perbaikan pada area yang belum terpenuhi
di penilaian sebelumnya dengan melakukan penerapan kontrol pada standar ISO 27001:2013
agar dapat mencapai target standar ISO 27001 dan juga dapat menjaga seluruh informasi yang
ada pada Direktorat Sistem Informasi.
B. Saran
Saran yang diberikan penulis dari hasil penelitian Indeks KAMI sebagai berikut:
a) Direktorat Sisfo diharapkan melakukan penerapan kontrol pada standar ISO 27001:2013, dengan
melaksanakan seluruh kebijakan dan prosedur yang telah dbuat terkait keamanan informasi dan
melakukan evaluasi pada area pengolahan aset informasi dan teknologi keamanan infromasi.
b) Melakukan evaluasi keamanan informasi dengan menggunakan Indeks KAMI ini dua kali dalam
satu tahun untuk meninjau ulang kesiapan keamanan informasi sekaligus mengukur keberhasilan
pada perbaikan yang dilakukan.
c) Pada penelitian selanjutnya disarankan untuk dapat melakukan evaluasi dengan metode indeks
KAMI dengan versi terbaru, agar dapat menyesuaikan perubahan pada saat melakukan evaluasi
di Direktorat Sistem Informasi.
REFERENSI
[1] Akhirina, Tri Yani, dkk. (2016). Evaluasi Keamanan Teknologi Informasi pada PT Indotama
Partner Logistics Menggunakan Indeks Keamanan Informasi (KAMI). Teknosi.Vol. 02, No. 02,
Agustus 2016.
[2] Badan Siber dan Sandi Negara.(2018). Indeks KAMIDiakases pada tanggal 15september
2018.https://bssn.go.id/indeks-kami
[3] Candiwan, el al. (2015). Comparison Analysis Of Information Security Risks And Implementation
Of ISO27001 On Higher Educational Institutions In Indonesia. Retrieved from International Journal
of Basic and Applied Science, 4 (w2) : 40-52.
[4] Chazar, C. (2015). Standar Manajemen Keamanan Informasi Berbasis ISO/IEC 27001: 2005.
Jurnal Informasi,VII(2), 48–57.
[6] ISO/ IEC 27001, S. (2005). INTERNATIONAL STANDARD ISO / IEC Information technology
— Security techniques — Information security management systems — Requirements, 2005.
https://doi.org/10.1177/0011128708322943
[7] ISO/ IEC 27001, S. (2013). INTERNATIONAL STANDARD ISO / IEC Information technology
— Security techniques — Information security management systems — Requirements, 2013.
https://doi.org/10.1177/0011128708322943
[8] ISO/IEC 27000, S. (2014). INTERNATIONAL STANDARD ISO/IEC 27000 Information
technology — Security techniques — Information security management systems — Overview and
vocabulary, 2014, 1. Retrieved from papers3://publication/uuid/F41B7AE4-6A56-4A74-B71E-
2739C41A3849
[9] Keamanan Informasi, T. D. (2011). Panduan Penerapan Tata Kelola Keamanan Informasi Bagi
Penyelenggara Pelayanan Publik.
[10] Keamanan Informasi, T. D. (2017). Panduan Penerapan Sistem Manajemen Keamanan Informasi
Berbasis Indeks Keamanan Informai (wIndeks KAMI).
[11] Manullang, A. F., Harsono, L. D., & Candiwan. (2017). Asesmen Keamanan Informasi
Menggunakan Indeks Keamanan Informasi ( Kami ) pada Institusi XYZ . Journal Information
Engineering and Educational Technology,01, 73–82.
[12] Mokodompit, M. P., & Nurlaela, N. (2017). Evaluasi Keamanan Sistem Informasi Akademik
Menggunakan ISO 17799:2000 (Studi Kasus Pada Peguruan Tinggi X ). Jurnal Sistem Informasi
Bisnis,6(2), 97. https://doi.org/10.21456/vol6iss2pp97-104
[15] Rashid Ridho, M., Ghozali, K., & Cahyo Hidayanto, B. (2012). Evaluasi Keamanan Informasi
Menggunakan Indeks Keamanan Informasi (KAMI) Berdasarkan SNI ISO/IEC 27001:2009 Studi
Kasus: Bidang Aplikasi dan Telematika Dinas Komunikasi Dan Informatika Surabaya, 1(1), 1–6.
[16] Sari, P. K., & Sebastian, J. (2014). Comparison Analysis of Information Security Risks and
Implementation of ISO27001 on Higher Educational Institutions in Indonesia, (October), 40–52.
[17] Sugiyono. (2016). Metode Penelitian Kuantitatif, Kualitatif, dan R & D. Bandung: Alfabeta.